世界上最悲慘的事情之一，

莫過于你的女朋友是一名黑客。

因為你永遠不知道，

她究竟有什么手段來監控你。

就在今天，一位來自中國的美女黑客向世界證明了：她有辦法監聽到指定手機的所有通訊數據。

【360 獨角獸團隊 張婉橋】

這名美女黑客名叫張婉橋，來自?360?獨角獸團隊。她在國際頂級黑客會議?DEF?CON?上分享了這個“悲傷”的研究。和他一起公布這個成果的黑客，是同樣來自360獨角獸團隊的單好奇。（單好奇曾為向女友表忠心而在她電腦上安裝了一個監控自己的木馬，也許這就是張婉橋拉他一起研究這個技術的原因吧。。。囧）

【單好奇（左）和張婉橋在 DEF CON 做演講】

謊言、欺騙、4G偽基站

張婉橋告訴雷鋒網，為了截獲手機上的信息，要做的一切就是用“一套謊言”來欺騙目標手機。這套謊言來自披著羊皮的狼：偽基站。

你可能聽說過偽基站這種邪惡的東東，它主要被黑產用于收發垃圾短信，釣魚信息。不過，你所熟知的偽基站大多采用如下的技術手段：

1、用高強度的干擾信號屏蔽掉一個區域內所有的 3G、4G 手機信號。

2、大多數手機在無法連接 3G、4G 信號時，會選擇自動尋找2G 信號。此時手機自然被引向了偽基站的 2G 信號，然后不知不覺接收了詐騙信息。

之所以黑產將信號壓制在 2G 之內，而不直接攻擊 3G 和 4G 信號，是因為這些通信方式采用了更為嚴密的安全模式。但是，這種暴力屏蔽信號的模式，往往會造成大面積正在通信的手機信號中斷，人們會察覺到信號異常而試圖離開偽基站區域。

4G 偽基站

而我們的美女黑客，選擇直接對 4G?LTE?信號下手。她說：

由于4G?LTE?信號采用雙向鑒權，意思是基站要驗證手機的身份，而手機也要驗證基站的身份。一旦相互認證成功，雙方就進入加密通信模式，這個時候就很難再進行攻擊了。所以我的攻擊必須要在鑒權完成之前實行

雙向鑒權的過程，成為了張婉橋黑掉手機網絡為數不多的好機會。在演講中，她和單好奇詳細解釋了攻擊的三個步驟：

1、騙到手機號碼的“身份證”

IMSI，這個聽起來并不性感的單詞對于手機來說非常重要，它是手機號碼在運營商服務器上的唯一識別碼。也就是說，你看到的是自己的手機號，而在運營商的數據庫里，你的手機號對應一個 IMSI 碼。這就像手機的“身份證”，所有的通信操作都基于對這個身份證的認證。

【手機號的“身份證”IMSI 的捕獲方法】

對于一個架設偽基站的攻擊者來說，搞到接入手機的身份證，才能進行下一步的攻擊。但是，IMSI 對手機來說就像是內褲：“每個人都有，但不能隨便給人看。”

張婉橋告訴雷鋒網：

一般來說，為了安全起見，手機從一個基站切換到另一個基站的時候，會給對方一個TMSI碼，這個碼是臨時的，有效期比較短。而一般只有當手機第一次搜索信號——例如關機重啟——時，才會給基站出示永久的 IMSI 碼。

這就造成了一個棘手的問題：在黑別人手機的時候，一般是不能沖上去幫別人重啟手機的。

為了搞到被攻擊收集的 IMSI 碼，她需要制造一個 4G 偽基站。4G 偽基站沒有辦法直接和手機取得通信，因為它的身份無法通過手機的校驗。不過在手機校驗基站之前，基站可以先給手機一個下馬威：

在手機給偽基站出示“TMSI”碼之后，偽基站可以給手機發送信息，表示我還是沒辦法判斷你的身份。而根據通信協議，這個時候手機必須出示它的 IMSI碼。

通俗來講，就是一個假保安站在大門口，無論如何不讓來訪者進去，除非他出示自己的身份證。用這種方式，偽基站終于“騙”到了手機號碼的“身份證”。

2、演戲的假保安

在搞到手機號碼的身份證之后，這個“假保安”（偽基站）還不善罷干休。他會告訴手機：大廈里已經滿員了，不能再允許你進入了。

而這個時候，手機仍然沒有機會識破對方“假保安”的身份，于是誤以為真的是網絡滿載。

因為偽基站的信號強度非常大，掩蓋了真實的信號。所以這個時候對于手機來說，沒有其他可用的網絡。為了節省電量，手機會進入一種關閉信號的狀態，直到你下一次重啟手機。

這時，懵逼的手機往往會長時間處于無信號狀態，直到機主注意到并且手動重啟。這就造成了一種“拒絕服務攻擊”（DoS）。

相信你也想到了，身份沒有敗露的保安完全可以做進一步的壞事。

3、落入陷阱

張婉橋告訴雷鋒網，在4G LTE 的通訊協議中，有一個奇葩的規定：

當一個基站認為自己負載過大時，可以引導前來訪問的手機到指定的基站。于是我們可以用 4G 偽基站把手機引導向一個 2G 的偽基站。

回到保安的例子。這就相當于假保安告訴來訪者，在大樓旁邊還有一座小樓，你在那里也可以辦理你的業務。

沒錯，那一座小樓，根本就是黑客搭建出來的虛假環境——2G 偽基站。

于是，經過這么一大圈，可憐的手機終于又落到了 2G 偽基站的魔爪。由于在 2G 網絡中，手機無權判斷基站的真偽，所以會毫無保留地把信息交給偽基站。而偽基站甚至可以作為“中間人”把通訊信息完整地交給真基站。在用戶看來，自己的通訊沒有什么問題，但是實際情況是，他所有的通信內容都被這個“中間人”所竊聽了。

【3GPP 歷年指定的通訊協議】

奇葩的規定從何而來？

也許你會問，為什么手機必須遵循基站的命令跳轉到指定的新基站呢？

張婉橋說，這個缺陷從某種程度上說并不是一個漏洞。因為早在2005年，4G 協議的制定機構 3GPP 內部的專家就已經意識到這個規則在理論上可能會導致攻擊。但是協議并沒有對這個規則做封堵。

因為在地震或火災這種緊急情況發生時，很可能會發生所有手機都同時連接同一個基站的情況。這就會造成基站過載而崩潰。手機是很“傻”的，往往只會搜索附近信號最強的那個基站，這個時候，就需要手機服從命令，聽從基站的調遣連接到指定的另一個基站。

而在通信協議沒有更改的情況下，所有的手機都處在被如此攻擊的可能性之中。

善良的黑客

對于張婉橋來說，她對于監控男友通訊記錄神馬的完全沒有興趣。確切地說，作為一名白帽子黑客，她有著嚴格的底線和價值觀。

她對于破解 4G LTE 技術的研究，是為了尋找到一個保護手機網絡的方法，避免這種攻擊被真正的壞人利用。

目前看來，在不修改國際通用 4G LTE 協議的情況下，很難完全避免這種攻擊，唯一能在這方面做出改進的，就是手機生產廠商。例如：

1、由于攻擊最終會轉到 2G 偽基站進行，而 2G 偽基站有一些自己的特性，如果在手機中加入一些識別條件，就可以識別出大多數的偽基站，這時就可以對用戶進行提醒，或者干脆拒絕連接。

2、對于 4G 偽基站的拒絕服務攻擊，可以讓手機在這種狀態下每半小時，甚至更短時間自動重連一次網絡，就不會造成長時間斷網的情況。

張婉橋對雷鋒網 (搜索“雷鋒網”公眾號關注) 說，有關 4G LTE 的破解研究很多底層的邏輯構建都，其實主要得益于獨角獸團隊的無線通信專家黃琳。 這兩個建議已經被團隊提交給自家的奇酷手機，相應的解決規則應該正在編寫中。

雖然在現實生活中，并沒有證據表明這類攻擊已經發生。但是張婉橋和單好奇的研究告訴人們，4G網絡的安全并非兒戲。這種攻擊難以察覺而殺傷力巨大。當這種攻擊真的開始大規模發生，人們所付出的代價，將是難以估量的。

P.S. 張婉橋特別鳴謝：隊友單好奇、獨角獸團隊通信大牛黃琳、獨角獸團隊首席黑客楊卿。 研究成果為團隊協力完成。

附，張婉橋演講結束之后被宅男“圍攻”的場景